Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Panoramica del servizio Azioni sensibili

Questa pagina fornisce una panoramica di Sensitive Actions Service, un servizio integrato di Security Command Center che rileva quando vengono eseguite azioni nella tua Google Cloud organizzazione, nelle cartelle e nei progetti che potrebbero danneggiare la tua attività se vengono eseguite da un attore malintenzionato.

Nella maggior parte dei casi, le azioni rilevate da Sensitive Actions Service non rappresentano minacce, perché vengono eseguite da utenti legittimi per scopi legittimi. Tuttavia, Sensitive Actions Service non può determinare in modo definitivo la legittimità, pertanto potrebbe essere necessario esaminare i risultati prima di poter essere certi che non rappresentino una minaccia.

Come funziona Sensitive Actions Service

Sensitive Actions Service monitora automaticamente tutti gli audit log delle attività di amministrazione della tua organizzazione per le azioni sensibili. Gli audit log delle attività di amministrazione sono sempre attivi, quindi non devi abilitarli o configurarli in altro modo.

Quando Sensitive Actions Service rileva un'azione sensibile eseguita da un Account Google, Sensitive Actions Service scrive un risultato in Security Command Center nella Google Cloud console e una voce di log nei Google Cloud log della piattaforma.

I risultati di Sensitive Actions Service sono classificati come osservazioni e possono essere visualizzati in base alla classe o all'origine del risultato nella pagina Risultati della console di Security Command Center.

Limitazioni

Le seguenti sezioni descrivono le limitazioni applicabili a Sensitive Actions Service.

Assistenza per l'account

Il rilevamento di Sensitive Actions Service è limitato alle azioni eseguite dagli account utente.

Limitazioni relative alla crittografia e alla residenza dei dati

Per rilevare le azioni sensibili, Sensitive Actions Service deve essere in grado di analizzare gli audit log delle attività di amministrazione della tua organizzazione.

Se la tua organizzazione cripta i log utilizzando chiavi di crittografia gestite dal cliente (CMEK), Sensitive Actions Service non può leggere i log e, di conseguenza, non può avvisarti quando si verificano azioni sensibili.

Le azioni sensibili non possono essere rilevate se hai configurato la posizione del bucket di log per gli audit log delle attività di amministrazione in una posizione diversa da quella global. Ad esempio, se hai specificato una località di archiviazione per il bucket di _Requiredlog in un determinato progetto, cartella o organizzazione, i log di quel progetto, cartella o organizzazione non possono essere sottoposti a scansione per rilevare azioni sensibili.

Risultati di Sensitive Actions Service

La seguente tabella mostra le categorie di risultati che Sensitive Actions Service può produrre. Il nome visualizzato di ogni risultato inizia con la tattica MITRE ATT&CKper cui l'azione rilevata potrebbe essere utilizzata.

Nome visualizzato	Nome API	Descrizione
`Defense Evasion: Organization Policy Changed`	`change_organization_policy`	È stata creata, aggiornata, o eliminata una policy dell'organizzazione a livello di organizzazione in un'organizzazione con più di 10 giorni di attività. Questo risultato non è disponibile per le attivazioni a livello di progetto.
`Defense Evasion: Remove Billing Admin`	`remove_billing_admin`	È stato rimosso un ruolo IAM di amministratore della fatturazione a livello di organizzazione in un'organizzazione con più di 10 giorni di attività.
`Impact: GPU Instance Created`	`gpu_instance_created`	È stata creata un'istanza GPU, in cui l'entità che ha creato l'istanza non ha creato di recente un'istanza GPU nello stesso progetto.
`Impact: Many Instances Created`	`many_instances_created`	Nello stesso giorno, la stessa entità ha creato molte istanze in un progetto.
`Impact: Many Instances Deleted`	`many_instances_deleted`	Nello stesso giorno, la stessa entità ha eliminato molte istanze in un progetto.
`Persistence: Add Sensitive Role`	`add_sensitive_role`	È stato concesso un ruolo IAM a livello di organizzazione sensibile o con privilegi elevati in un'organizzazione con più di 10 giorni di attività. Questo risultato non è disponibile per le attivazioni a livello di progetto.
`Persistence: Project SSH Key Added`	`add_ssh_key`	È stata creata una chiave SSH a livello di progetto in un progetto con più di 10 giorni di attività.

Passaggi successivi

Scopri come utilizzare Sensitive Actions Service.
Scopri come esaminare e sviluppare piani di risposta alle minacce.